composer install 默认安装所有依赖,包括 require 和 require-dev 中的包,因此会下载 phpunit、phpstan 等开发工具;若仅需生产环境依赖,应使用 composer install –no-dev。
当你运行 composer install 时,发现下载了很多看起来像是“开发用”的包(比如 phpunit、phpstan、psy/psysh 等),这其实是由 Composer 的依赖解析机制和项目配置共同决定的。下面详细说明为什么会这样。
1. 查看 composer.json 中的 require 和 require-dev
Composer 区分两种依赖:
- require:项目运行所必需的依赖,例如 laravel 框架、数据库组件等。
- require-dev:仅在开发或测试时使用的工具,如 PHPUnit、PHP_CodeSniffer、faker 等。
正常情况下,composer install 默认会安装 所有依赖 —— 包括 require 和 require-dev,除非你明确指定不安装开发依赖。
2. composer install 与 –no-dev 的区别
默认执行:
composer install
这条命令会读取 composer.lock 文件,并安装其中列出的全部依赖,包括生产环境和开发环境的包。
如果你只想安装生产环境依赖(例如部署到线上服务器),应该使用:
composer install –no-dev
加上 –no-dev 参数后,Composer 就会跳过 require-dev 中定义的包,只安装 require 部分。
3. 锁文件(composer.lock)记录了完整的依赖树
当你第一次运行 composer install 时,Composer 会根据 composer.json 解析出一个完整的依赖树,并将所有包(包括嵌套依赖)的精确版本写入 composer.lock。
下次执行 composer install,Composer 不再重新计算依赖,而是直接按照 lock 文件安装,确保环境一致。
这意味着:即使某个 dev 工具是间接依赖(比如 phpunit 依赖 symfony/console),它也会被完整下载,只要它是 dev 依赖的一部分。
4. 为什么某些“开发包”会被当作正式依赖?
有时候你会看到一些本应是开发工具的包出现在 require 而不是 require-dev 中,这通常是因为:
- 项目误把开发工具加到了 require 中。
- 某些包在生产环境中也被用到。例如 faker 在开发中生成测试数据,但有些项目也在种子填充时使用,所以不能简单移除。
- 框架或库自身依赖了某些通用组件(如 symfony/console、symfony/Filesystem),这些组件虽然常用于开发工具,但也可能被应用本身调用。
注意:很多“看起来像 dev”的包其实是功能组件,是否属于开发依赖要具体分析。
基本上就这些。理解 composer install 下载什么,关键在于看有没有用 –no-dev,以及 composer.json 中的依赖划分是否合理。部署时记得加 –no-dev,本地开发则保留 dev 依赖以便调试测试。不复杂但容易忽略。
以上就是为什么composer install会下载很多开发依赖_分析composer install下载依赖的机制的详细内容,更多请关注php中文网其它相关文章!